homepage_0_3

Informatiebeveiliging

Voor de scenario’s is gekozen voor een concrete situatie, maar deze scenario’s zouden in uw organisatie mogelijk voor kunnen komen in een ander kader. Onderstaande vragen helpen om een indruk te geven of het beschreven scenario relevant is in uw organisatie.

Vragen voor uw organisatie:

  • Is de situatie herkenbaar?
  • Is het reëel dat deze situatie in uw organisatie kan voorkomen, mogelijk binnen een ander kader?
  • Wat zijn de kwetsbaarheden in deze situatie?
  • Wat zijn de mogelijke gevolgen van deze situatie?
  • Welke maatregelen kunnen worden genomen om het scenario te voorkomen?
  1. 1

    Cyberaanval

    Het netwerk van de organisatie is een tijdje ontoegankelijk geweest door een cyberaanval. Zodra de toegang tot het netwerk weer hersteld is, rijst de vraag of gevoelige informatie bereikbaar is (geweest) voor derden, en of de informatie nog (ongewijzigd) aanwezig is op het netwerk.

    Informatie_scenario_1_cms

    Het netwerk van een organisatie met een hoogrisico laboratorium bevat vaak gevoelige informatie. Na een cyberaanval is het belangrijk om te weten welke gevoelige informatie mogelijk toegankelijk is geweest, maar belangrijker is het om gevoelige informatie afdoende af te schermen, of helemaal niet te delen via het netwerk. Voorbeelden van het beveiligen van gevoelige informatie is het gebruik van standalone computers voor dit soort informatie, of versleuteling van de informatie. Uw ICT afdeling kan hier natuurlijk in adviseren.
    Het Nationaal Cyber Security Center biedt ook advies over hoe u zich kunt beschermen tegen cyberaanvallen, op https://www.ncsc.nl/actueel/factsheets/help-mijn-website-is-beklad.html

    Andere relevante pijlers: bewustwording, organisatie

    • Gevoelige informatie kan bestaan uit bijvoorbeeld locaties waar hoogrisico pathogenen worden opgeslagen, maar ook onderzoeksresultaten over zulke pathogenen. Niet alleen kan het lekken van gevoelige informatie imagoschade toebrengen, maar het kan de organisatie ook kwetsbaarder maken voor mogelijk misbruik, zoals diefstal.
    • Indien geen goede back-ups beschikbaar zijn kan dit invloed hebben op de beschikbaarheid van informatie en de bedrijfscontinuïteit.

    Is dit scenario van toepassing op uw organisatie?

    Is dit scenario van toepassing op uw organisatie?
  2. 2

    Verlies van een USB

    Een medewerker moet een vertrouwelijk rapport afmaken. Hij gaat thuiswerken en neemt gevoelige informatie mee op een USB stick naar huis. Op een bepaald moment is de USB stick zoekgeraakt, en is daarmee gevoelige informatie mogelijk toegankelijk voor onbevoegden.

    Informatie_scenario_2_cms

    In veel organisaties bestaan er mogelijkheden voor thuis- of flexwerken. Dit onderstreept het belang om aandacht te schenken aan de mobiliteit van data (hardcopy’s, USB sticks, gedeelde mappen, remote access) en hoe hier mee om te gaan. Zeker voor gevoelige informatie is het belangrijk dat data goed afgeschermd is, bijvoorbeeld door versleuteling, of door extra beveiligingslagen tijdens remote access.

    Andere relevante pijler: bewustwording

    • Wanneer gevoelige informatie niet op de juiste manier ‘getransporteerd’ wordt, bestaat de mogelijkheid dat het door nalatigheid of diefstal in verkeerde handen terecht komt.

    Is dit scenario van toepassing op uw organisatie?

    Is dit scenario van toepassing op uw organisatie?
  3. 3

    Verboden toegang voor onbevoegden

    Tijdens een congres wil je je recent gegenereerde onderzoeksresultaten bespreken met een collega-onderzoeker. Hiervoor op je een presentatie op je laptop welke op dat moment verbonden is met een onbeveiligd Wifi netwerk.

    Informatie_scenario_3_cms_0

    Door gebruik te maken van onbeveiligde netwerken kan (gevoelige) informatie toegankelijk worden voor onbevoegden. Lees meer over Wifi-beveiliging: https://www.ncsc.nl/actueel/nieuwsberichten/wifi-beveiliging---de-onder…

    Andere relevante pijler: bewustwording

    • Een draadloos netwerk is kwetsbaar voor onderschep­ping van de draadloze communicatie.
    • Mobiele apparaten zijn kwetsbaar voor diefstal/verlies, waardoor de opgeslagen (bedrijfs)gegevens in vreemde handen kunnen komen.

    Is dit scenario van toepassing op uw organisatie?

    Is dit scenario van toepassing op uw organisatie?
  4. 4

    Vertrouwelijke informatie doorsturen via email

    Bij een internationale samenwerking waarvoor experimenten op BSL-3 niveau worden uitgevoerd, worden de technieken en behaalde resultaten voornamelijk via email gecommuniceerd, zowel intern als extern.

    Informatie_scenario_4_cms_0

    Voor het versturen van informatie via email is het raadzaam om eerst na te gaan of de betreffende informatie geclassificeerd of gerubriceerd is. Daarnaast is het van belang om te controleren of zowel de zender als ontvanger gebruik maakt van een beveiligde mailserver. Als er sprake is van bepaalde classificatie of rubricering, of als de mailserver niet toereikend is, dan kan worden overwogen om de informatie per koerier te versturen.

    Andere relevante pijler: bewustwording

    • Niet voldoen aan bestaande wetgeving (BIR/VIRBI/AVG).
    • Imagoschade en afbreukrisico van bedrijf.
    • Datalekken.

    Is dit scenario van toepassing op uw organisatie?

    Is dit scenario van toepassing op uw organisatie?